Existe uma frase que é praticamente o slogan da Overnine: “O melhor antivírus é um usuário consciente”.

Contudo, após um impressionante resultado revelado por uma pesquisa global, onde o Brasil protagonizou dados alarmantes sobre o comportamento do usuário, estamos repensando sobre o uso desta frase.

Existe uma grande discussão com relação à fragilidade de sistemas de segurança, onde, de um lado algumas pessoas defendem que sistemas são suscetíveis a falhas e máquinas ou IAs precisam da intervenção humana para operar em sua plenitude. Por outro lado, há quem defenda que o elo mais fraco de um sistema de segurança é justamente o elemento humano.

Essa discussão percorre vários vieses, cada lado com seus pontos de argumentação, prós e contras. Por exemplo, do lado dos que defendem que o ser humano é o elo mais fraco da cadeia de proteção de um sistema de segurança, está a sua falta de conhecimento e suscetibilidade à manipulação comportamental, que na grande maioria dos casos, supera facilmente muitas barreiras tecnológicas.

Ignorando protocolos de segurança

Acontece que um recente relatório apontou esse mesmo problema, mas para outra direção: A pesquisa revelou que mais de 70% dos usuários que possuem algum conhecimento sobe boas práticas na segurança de dados, optam por tomar ações arriscadas conscientemente.

Este é um dado preocupante, pois mostra que, aparentemente o investimento em treinamento fornecido pelas empresas não surte efeito prático. Mas será que este é o real motivo para a não utilização de boas práticas dos usuários?

E embora o relatório seja a nível global, o Brasil está no foco devido ao volume dos resultados apontarem para as terras tupiniquins, inclusive tendo sido citada a expressão “jeitinho brasileiro”, o que já nos dá uma pista de qual pode ser o cerne desta questão: A velha gangorra entre a praticidade e a segurança.

Vamos nos aprofundar agora avaliando os principais motivos pelos quais os usuários agem conscientemente de maneira arriscada:

Cumprir prazos rigorosos

A pressão por entrega de resultados das equipes que não são diretamente ligadas à segurança, como marketing, desenvolvimento, financeiro, entre outras, acaba por fazer com que os colaboradores deixem de priorizar ações seguras em detrimento da entrega de suas responsabilidades, mesmo que isso ponha em risco a segurança de uma empresa inteira.

Poupar tempo

Devido à necessidade de mais etapas para se realizar uma tarefa, ações como uso de senhas diferentes, autenticação de múltiplo fator, validação de conteúdo de e-mails ou comunicação de equipe responsável por acontecimentos anormais, ficam foram do escopo dos usuários que preferem ignorar certas ações a fim de economizar tempo, o que também acaba se relacionando com o item acima.

Conveniência

Também relacionado com o item anterior, criar, gerenciar e utilizar senhas distintas para serviços distintos é um “trabalho” a mais, assim como a autenticação multifator, o que leva os usuários à famosa “lei do menor esforço” em optar por não utilizar estes recursos, pois isso, na sua visão, torna o trabalho mais complexo.

Atingir metas

À medida que avançamos com as informações, percebemos um padrão que se forma. Aparentemente, de modo generalizado, o risco assumido por usuários conscientes está relacionado a uma suposta falta de praticidade no uso das ferramentas, o que tornaria o trabalho mais oneroso e impediria os usuários de atingirem objetivos sem que deixem de agir de modo seguro, fazendo-os escolher entre agilidade x segurança.

Profissionais de segurança x Usuários

Falando nisso, a pesquisa também coletou informações sobre quais são os principais motivos pelos quais a segurança deve ser uma prioridade nas empresas, na visão dos profissionais de segurança e dos usuários, o que em partes, dividiu opiniões:

Para os profissionais de segurança

1. Fornecer mais treinamentos;
2. Maior controle de segurança e restrições;
3. Atuação mais presente dos executivos;
4. Alinhamento entre as prioridades dos negócios e processo;
5. Avaliação individual de performance de segurança.

Para os usuários

1. Ferramentas de fácil utilização;

2. Recompensas e reconhecimento;

3. Treinamentos mais personalizados;

4. Engajamento de líderes e equipes de segurança;

5. Punição.

Aqui também vemos um padrão, onde, por um lado, ambos parecem concordar que a responsabilização individual não é o melhor caminho, bem como julgam necessária maior presença de cargos de liderança e a necessidade de treinamentos.

O ponto de divergência ocorre quando, por outro lado, a equipe técnica considera a necessidade de maiores restrições no controle de segurança, enquanto os usuários almejam maior facilidade, o que não prática é uma tarefa extremamente complicada de se encontrar um equilíbrio, uma vez que quanto mais facilitado o uso de uma ferramenta, maior será a sua exposição ou suscetibilidade a falhas ou uso incorreto, e o inverso é verdadeiro.

Quanto mais restrições, menos prático se torna um sistema, de modo que a busca pelo equilíbrio acaba se tornando um jogo de cabo de guerra.

E quais são as ações mais comuns?

Novamente ressaltando que estas ações foram declaradas como ações de usuários que possuíam consciência de seus atos perante eminentes ameaças.

Para os profissionais de segurança

1. Clicar em links ou baixar arquivos de fontes desconhecidas;
2. Responder mensagens (e-mail ou SMS) de desconhecidos;
3. Fazer upload de dados sensíveis a sistemas não validados;
4. Reuso ou compartilhamento de senhas;
5. Acessar sites não apropriados.

Para os usuários

1. Responder mensagens (e-mail ou SMS) de desconhecidos;

2. Utilizar dispositivos da empresa para fins pessoais;

3. Conectar-se a redes abertas sem uso de VPN;

4. Compartilhar dispositivos da empresa com familiares ou amigos;

5. Reuso ou compartilhamento de senhas.

O relatório “State of the Phish 2024” na íntegra pode ser baixado aqui.

Conclusão

Então quer dizer que todo aquele investimento em treinamentos não serve de nada? Não é bem por aí.

Como vimos, tanto os times técnicos quanto usuários veem a necessidade de um acompanhamento mais próximo da alta gestão. E isso faz muito sentido, pois valoriza tanto o investimento da empresa quanto o tempo e esforço desprendido pelos colaboradores para contribuir com as melhorias dos processos da empresa.

E como sempre falamos, não existe uma bala de prata quando o assunto é segurança, mas ações em conjunto que fortalecem a sua empresa, blindando-a de todas as formas possíveis.

Lembre-se: o atacante precisa apenas de um ponto de falha para obter sucesso em uma invasão.
E a nós estamos aqui justamente para oferecer as soluções completas para esta blindagem, desde o treinamento até o monitoramento.

A Overnine oferece várias soluções de segurança para o seu ambiente. Caso tenha ficado com alguma dúvida ou busca uma solução robusta de segurança para seu ambiente, entre em contato conosco que estaremos prontos para lhe atender.

Clique aqui para ver outras matérias.